Autorizace v databázi SQL v Microsoft Fabric
Platí pro:✅SQL Database v Microsoft Fabric
Tento článek vysvětluje řízení přístupu pro položky databáze SQL v prostředcích infrastruktury.
Přístup pro databázi SQL můžete nakonfigurovat na dvou úrovních:
- V prostředcích infrastruktury pomocí řízení přístupu k prostředkům infrastruktury – role pracovního prostoru a oprávnění položek.
- V databázi pomocí řízení přístupu SQL, jako jsou oprávnění SQL nebo role na úrovni databáze.
Řízení přístupu na těchto dvou různých úrovních spolupracují.
- Aby se uživatel mohl připojit k databázi, musí mít alespoň oprávnění ke čtení v prostředcích infrastruktury pro položku databáze Fabric.
- Přístup ke konkrétním funkcím nebo datům můžete udělit pomocí řízení přístupu k prostředkům infrastruktury, řízení přístupu SQL nebo obojího. Oprávnění pro připojení k databázi je možné udělit pouze s rolemi nebo oprávněními infrastruktury.
- Odepření přístupu (pomocí příkazu DENY Transact-SQL) v databázi má vždy prioritu.
Poznámka:
Zásady ochrany Microsoft Purview můžou rozšířit efektivní oprávnění pro uživatele databáze. Pokud vaše organizace používá Microsoft Purview s Microsoft Fabric, přečtěte si téma Ochrana citlivých dat v databázi SQL pomocí zásad ochrany Microsoft Purview.
Řízení přístupu k prostředkům infrastruktury
V prostředcích infrastruktury můžete řídit přístup pomocí rolí pracovního prostoru Fabric a oprávnění položek.
Role pracovního prostoru
Role pracovního prostoru Infrastruktury umožňují spravovat, kdo může dělat co v pracovním prostoru Microsoft Fabric.
- Přehled rolí pracovního prostoru najdete v tématu Role v pracovních prostorech.
- Pokyny k přiřazování rolí pracovního prostoru najdete v tématu Udělení přístupu uživatelům k pracovním prostorům.
Následující tabulka zachycuje funkce specifické pro databázi SQL, členové konkrétních rolí pracovního prostoru mají povolený přístup.
| Schopnost | Role správce | Role člena | Role přispěvatele | Viewer role |
|---|---|---|---|---|
| Úplný přístup pro správu a úplný přístup k datům | Ano | Ano | Ano | No |
| Čtení dat a metadat | Ano | Ano | Ano | Ano |
| Připojení k databázi | Ano | Ano | Ano | Ano |
Oprávnění k položce
Oprávnění k položce prostředků infrastruktury řídí přístup k jednotlivým položkám infrastruktury v rámci pracovního prostoru. Různé položky infrastruktury mají různá oprávnění. Následující tabulka uvádí oprávnění položek, která se vztahují k položkám databáze SQL.
| Oprávnění | Schopnost |
|---|---|
| Přečíst | Připojte se k databázi. |
| ReadData | Čtení dat a metadat |
| ReadAll | Čtení zrcadlených dat přímo ze souborů OneLake |
| Sdílet | Sdílení položek a správa oprávnění k položkě Fabric |
| Zapsat | Úplný přístup pro správu a úplný přístup k datům |
Nejjednodušší způsob, jak udělit oprávnění k položce, je přidání uživatele, aplikace nebo skupiny do role pracovního prostoru. Členství v každé roli znamená, že členové role mají podmnožinu oprávnění pro všechny databáze v pracovním prostoru, jak je uvedeno v následující tabulce.
| Role | Čteno | ReadAll | ReadData | Write | Sdílení |
|---|---|---|---|---|---|
| Správa | Ano | Ano | Ano | Ano | Ano |
| Člen | Ano | Ano | Ano | Ano | Ano |
| Přispěvatel | Ano | Ano | Ano | Ano | No |
| Prohlížející | Ano | Ano | Ano | No | No |
Oprávnění ke sdílení položek
Oprávnění Read, ReadAll a ReadData můžete také udělit pro jednotlivé databáze sdílením položky databáze prostřednictvím rychlé akce Sdílet na portálu Fabric. Oprávnění udělená pro položku databáze můžete zobrazit a spravovat prostřednictvím rychlé akce Spravovat oprávnění na portálu Fabric. Další informace najdete v tématu Sdílení databáze SQL a správa oprávnění.
Řízení přístupu SQL
Následující koncepty SQL umožňují mnohem podrobnější řízení přístupu oproti rolím a oprávněním k položkám pracovního prostoru Fabric.
-
Role na úrovni databáze. Existují dva typy rolí na úrovni databáze: pevné databázové role , které jsou předdefinované v databázi, a uživatelsky definované databázové role , které můžete vytvořit.
- Můžete spravovat členství v rolích na úrovni databáze a definovat uživatelem definované role pro běžné scénáře na portálu Fabric.
- Další informace najdete v tématu Správa rolí na úrovni databáze SQL z portálu Fabric.
- Pomocí jazyka Transact-SQL můžete také spravovat členství v rolích a definice rolí.
- Pokud chcete přidat a odebrat uživatele do databázové role, použijte
ADD MEMBERpříkaz ALTER ROLE aDROP MEMBERmožnosti. Ke správě definic uživatelem definovaných rolí použijte FUNKCI CREATE ROLE, ALTER ROLE a DROP ROLE.
- Pokud chcete přidat a odebrat uživatele do databázové role, použijte
- Můžete spravovat členství v rolích na úrovni databáze a definovat uživatelem definované role pro běžné scénáře na portálu Fabric.
- Oprávnění SQL Oprávnění pro uživatele databáze nebo databázové role můžete spravovat pomocí příkazů GRANT, REVOKE a DENY Transact-SQL.
- Zabezpečení na úrovni řádků (RLS) umožňuje řídit přístup k určitým řádkům v tabulce.
Další informace naleznete v tématu Konfigurace podrobného řízení přístupu pro databázi SQL.